DTE方:同上 (DCE和DTE映射时必须指对方端地址)
x.25具有寻址功能和纠错功能,它包括物理层、链路层、和网路层,它是一个协议集,支持流控
帧中继协议(Frame-relay)配置方法:
DCE方:先配置IP地址再打开帧中继交换 (config)#frame switch
(config-if-Serial0)#encap int dce 设置封装模式 (config-if-Serial0)#frame local 18 定义虚电路号 *DTE方:同上 (虚电路号发必须相同)
当不允许逆向地址解析时,必须手动填加地址和虚电路对应*
借用IP地址:
DCE方:先设定e0IP地址
(config-if-Serial0)#int s 0.1 point 设置子接口为点到点 (config-if-Serial0)#frame inter 50 设置虚电路号 (config-if-Serial0)#ip unnum eth0 指定IP借用
(config)#ip route (下一跳网络号) (掩码)255.255.255.252 s 0.1 DTE方:同上 设e0 IP地址
(config)#ip route (下一跳地址) (掩码)255.255.255.255 s 0.1 (config)#ip route 0.0.0.0 0.0.0.0 (下一跳地址)
rip协议配置方法:(DCE和DTE相同) (config)#router rip 设置rip协议启动
(config)#network all 把本机所有网段都参于路由交换(广播) (config)#no network (IP网段) 单独取消某网段
(config)#no network all 所有网段都关闭 (config)#sh ip rip 查看路由信息
如果想要静态路由也通过rip广播出去须借用路由:
(config-router-rip)#redis static(引用路由) metric(静态路由度量值) 1 (config-router-rip)#neighbor 对端IP地址
OSPF协议配置方法:OSPF不能在x.25和frame frelay协议上进行广播 DCE和DTE都封装(任意协议,例:x.25)
(config)#router ospf enable 设置OSPF协议启动 再进入单独端口启动OSPF:
(config-if-Serial0)#ip ospf enable area 1或0(为骨干) (config-if-Ethernet0)#ip ospf enable area 1 (config-if-Serial0)#ip ospf neighbor 对端IP地址
(config)#ip route 目标网络号 掩码 下一跳IP 间接路由
(config-router-ospf)#redis ospfase static metric 1(度量值默认为1) 网络安全:
用路由器做firewall(防火墙):
(config)#firewall enable 打开防墙设置 (config)#firewall default 设置默认规则
(config)#access 101(任意号) sirt(指定自链顺序) auto(精度优先) 地址过滤:
(config)#access 101 deny ip 70.70.70.2(源地址IP) 0.0.0.0(掩码255.255.255.255反码) 70.70.70.1(目的IP) 0.0.0.0(掩码255.255.255.255反码) 定义一条规责不让70.70.70.1访问70.70.70.2
(config-if-Ethernet0)#ip access 101 in (把101规责定义在e0口的输入方) (config)#no access 101(规则号) 删除一条链101 (config)#sh access 101(规则号) 查看一条链101
(config)#access 101 deny ip 70.70.70.0(源地址IP) 0.0.0.127(掩码255.255.255.128反码) 50.50.50.2 (目的IP)0.0.0.0(掩码255.255.255.255反码) 拒绝70.70.70.1-127网段访问
允许某个地址访问:
(config)#access 101 deny ip any 70.70.70.2(源地址IP) 0.0.0.0(掩码255.255.255.128反码) (config)#aceess 101 permit ip 70.70.70.64(源地址IP) 0.0.0.3(掩码255.255.255.252反码) any
只允许70.70.70.64 - 67访问
(config-if-Serial0)#ip access 101 in 在s0口加入101链 端口过滤:
(config)#access 101 deny ip tcp any(任何目标地址) 70.70.70.1(源地址IP) 0.0.0.0(掩码255.255.255.255反码) eq (23端口)或telnet 类型过滤别人ping不通你,你可ping通别人 (config)#access special 101 deny ip tcp any(源任何地址) 70.70.70.1(目标IP地址) 0.0.0.0(掩码255.255.255.255反码) eq telnet 对本机特定时间段拒绝telnet (config)#rimerange eable 开启时间段
(config)#settr(范围)18:23(开始) - 18:25(结束) 时间段内生效 链路集合: DCE:
(config-if-Serial0)#peer default ip add 50.50.50.2 不定义地址池只有一端与其相连 DTE:
(config)#sh ip route 查看路由 (config)#ip add nego 自动获取地址
VPN(虚拟专用网):利用协议做一条专线让两个局域网通过互连网相连。
老师对VPN的分类:
(1)对等式基于IP协议[不需服务器] <1>GRE <2>IPSEC (2)主客户型基于PPP协议[需服务器] <1>PPTP <2>L2TP 配置方法:
先设定地址再构造虚拟网卡(也就是随道端点) (config)#int tunnel 1 建立虚拟网卡
(config-if-Tunnel1)#tunnel mode gre ip 隧道封装格式(有的路由器默认为GRE协议) (config-if-Tunnel1)#tunnel source IP源地址(注:也就是S0口出口地址最好是公网地址) (config-if-Tunnel1)#tunnel dest IP目标地址(注:也就是对方S0出口地址) (config-if-Tunnel1)#ip add IP地址(给隧道加内网IP地址不和局域网IP相重) (config-if-Tunnel1)#tunnel key 1234 (建立密钥双方必需相同) (config)#sh int tunnel 1 查看隧道状态
DTE和DCE虚拟网IP必需处于一个网段中
双方填加路由:(config)#ip route目标IP 掩码 runnel 1 (直接路由)
做NAT出口服务器:测试VPN和NAT是否冲突 (config)#firewall enable
(config)#access 101 permit ip 反码掩码(源地址) any 目标地址任意(定义规则) (config-if-Serial0)#nat inside 101 int (把规则定义S0口上)
加密(sercrify)给隧道: 1、原理:原文+密钥+算法 = 密文
2、分类:不可逆MD5不可译(验证) 可逆:可译 3、IKE(密钥自动交换)协议 步骤:
1、先IP建立实验模型
2、(config)#firewall enable
3、(config)#access 101 permit (源IP网络号) 反掩码 目标地址 反掩码 (设定规则) 4、(config)#access 101 deny ip any any 只允许上边规则生效 DCE和DTE相同(注:那些流量做VPN)
定义遂道加密方式:
(config)#crypt ipsec trans+(任意名) 给隧道组定义加密组名字 (config-cryto-transform-任意名)#mode tunnel 对VPN加密
(config-cryto-transform-任意名)#transform(esp-ah-new同时进行验证和加密)选用的加密方式
(config-cryto-transform-任意名)#esp encry (des数据加密算法)定义一种加密算法 (config-cryto-transform-任意名)#esp hash (md5密码算法) 定义遂道:
(config)#crypt map (任意名)定义隧道组名 1 isa (自动协商)设定数据加密密钥生成的方式 (任意名-1)#match add 101 允许隧道通过的规则 (任意名-1)#set peer+(VPN对方s0地址) 引用隧道
(任意名-1)#set trans (隧道加密组名字) 引用隧道组 定义端口:
(config-if-Serial0)#crypt map 在s0口启用隧道组
设定验证初始密码:
(config)#crypt ike key (123任意密码) 定义自协商密码 add (对端地址s0口IP) DCE和DTE相同
(config)#tracert ip 地址跟踪 (config)#sh crypt ike 查看加密设定
交换机配置:
1、网络连设备: 三层:网关 - 路由器 二层:交换机 - 网桥 一层:HUB - 中继器
2、网桥的原理:
3、交换机的分类:(1)直接 (2)存储 4、VLAN(虚拟局域网):基于2层的网络切割技术
(1)普通Access (2)汇聚Trunk (3)混杂Hybrid
做VLAN的好处:(1)对广播包进行控制,减少交换机负载。 (2)对网络的步局进行优化,降低升级成本。
(注:交换机相连最好以树形相连,不要串连和环连)
5个网段 - 使用4HUB - 任意两个客户端不能经过3个HUB HUB连接方式
[Quidway]display current显示配置文件
设定telnet登录参数:
[Quidway]int VLAN 1 进入VLAN1才可设定telnet登录IP地址 [Quidway-Vlan-interface1]ip add (IP地址) [Quidway]user vty 0 4 设置登录用户参数
[Quidway-ui-vty0-4]idle 0关闭超时时间 [Quidway-ui-vty0-4]set auth pass 设置口令 [Quidway-ui-vty0-4]auth none 设口令为无 [Quidway-ui-vty0-4]user priv level 3 设定登录级别为最高
设定端口参数:
[Quidway]int eth 0/(任意端口号) 进入某端口 [Quidway-Ethernet0/任意端口号]speed 10(带宽)给端设定带宽
[Quidway-Ethernet0/任意端口号]duplex 设定双工模式 [Quidway-Ethernet0/任意端口号]broad 设定广播风暴比例
[Quidway-Ethernet0/任意端口号]undo 删除某个参数 [Quidway-Ethernet0/任意端口号]mac
max(最大学习mac个数) 0(关闭学习)
给交换机化VLAN:
1、(普通access):[Quidway]VLAN 10(名字) 建立VLAN [Quidway-VLAN10]port eth 0/(任意端口号) 把某端口放进VLAN10中
2、(汇聚trunk):当须要把一个端口与几个VLAN同时通信*首先交换机和网卡必须支持802.1q协议才能实现,
最好采用inter网卡,必须是原装驱动方可配置* 在Linux主机实现汇聚功能: 先设定交换机:
[Quidway-Ethernet0/与网卡连接端口号]port link trunk 在与Linux主机连接的端口定义汇聚 [Quidway-Ethernet0/与网卡连接端口号]port trunk pvid VLAN 1 定义默认VLAN(也就是如果接收数据包不在所有VLAN是发往VLAN1)
[Quidway-Ethernet0/与网卡连接端口号]port trunk permit VLAN all 定义端处于所有VLAN中 再设定Linux在inter网卡上做汇聚让它与其它VLAN通信:不要在inter网卡上设定IP地址,先安装VLAN配置包,再执行
#vconfig #modprebe 8021q 填加802.1q协议
#vconfig add eth1 10(与交换机VLAN名相同)建立虚拟网卡 #/etc/rc.d *(使之重启后继续生效)* #vi rc.local *在角本中写入*: modprobe 802.1q vconfig add eth1 14 vconfig add eth1 15
/etc/rc.d/init.d/network stop /etc/rc.d/init.d/network start
(可以添加多项让inter网卡处于多个VLAN中后相应的配置各个虚拟网卡IP地址与VLAN中的IP处于相同网段中)